Health-ISAC Hacking Healthcare 10-24-2024
Denne uge, Health-ISAC's Hacking Healthcare® gennemgår det nuværende lovgivningslandskab for cybersikkerhed på sundhedsområdet i USA ved at undersøge de to lovforslag, der er blevet indført i de seneste par uger. Vi vurderer indholdet af hvert af lovforslagene, overvejer, hvad deres tilgange kan betyde i den større politiske sammenhæng, og udforsker derefter deres potentielle veje fremad, mens vi er på vej mod slutningen af den nuværende amerikanske lovgivningscyklus i et særligt omstridt politisk miljø.
Som en påmindelse er dette den offentlige version af Hacking Healthcare-bloggen. For yderligere dybdegående analyse og mening, bliv medlem af Health-ISAC og modtag TLP Amber-versionen af denne blog (tilgængelig i medlemsportalen.)
10.24.24 TLP WHITE Hacking Healthcare Weekly Blog
Størrelse: 208.7 kB Format: PDF
Velkommen tilbage til Hacking Healthcare®.
United States Healthcare Cybersecurity Legislative Review
Cybersikkerhed i sundhedssektoren er fortsat et varmt emne for diskussion for politikere og lovgivere i USA. Mens Biden-administrationen forfølger implementeringen af cybersikkerhedsbaselines og revisioner af HIPAA-sikkerhedsreglen[I] medlemmer af den amerikanske kongres har gennem eksisterende myndigheder foreslået yderligere lovgivning for at forbedre sikkerheden og modstandsdygtigheden i sundhedssektoren. Lad os tage et kig på to af de mere betydningsfulde lovforslag, der er blevet fremsat i de seneste par uger.
Healthcare Cybersecurity Act af 2024
Healthcare Cybersecurity Act af 2024 er særligt bemærkelsesværdig, fordi den nyder støtte fra to partier og er blevet introduceret i både Repræsentanternes Hus og Senatet. Lovforslaget opfordrer Cybersecurity and Infrastructure Security Agency (CISA) til at koordinere med Department of Health and Human Services (HHS) om flere indsatslinjer for bedre at støtte sundheds- og folkesundhedssektoren.
Katalysatoren for lovforslaget vil ikke overraske Health-ISAC-medlemmer, da det henleder opmærksomheden på de stigende cyberangreb mod sundhedssektoren, de stigende frekvenser af databrud og det stigende antal brud, der påvirker store mængder usikrede beskyttede sundhedsoplysninger. Specifikt bemærker forfatterne, at ondsindede cyberangreb "ikke kun resulterer i databrud, men også øgede omkostninger til levering af sundhedsydelser og i sidste ende kan påvirke patienternes helbredsresultater."[Ii]
Indhold
På et højt niveau pålægger lovforslaget CISA og HHS at forbedre cybersikkerheden i sundheds- og folkesundhedssektoren. Konkret opfordrer lovforslaget til følgende[Iii]:
CISA-forbindelse med HHS: Direktøren for CISA vil udpege en person til at fungere som forbindelsesled til HHS' Administration for Strategic Preparedness and Response Office (ASPR). Denne person skal have passende cybersikkerhedsekspertise og vil rapportere direkte til CISA's direktør. Deres ansvar omfatter en bred vifte af fælles CISA- og HHS-aktiviteter, herunder at fungere som det primære kontaktpunkt, koordinering af cybersikkerhedsspørgsmål og cybersikkerhedshændelser, facilitering af informationsdeling og støtte til uddannelse og implementering og udførelse af sundheds- og folkesundhedssektoren- specifik risikostyringsplan (se nedenfor).
Support til informationsdeling: CISA er også pålagt at "koordinere med og stille ressourcer til rådighed for informationsdelings- og analyseorganisationer [ISAO], informationsdelings- og analysecentre [ISAC], de sektorkoordinerende råd [SCC] og ikke-føderale enheder, der modtager information delt gennem programmer forvaltet af afdelingen.”[Iv] Denne deling skal omfatte "information vedrørende cybertrusselsindikatorer og passende defensive foranstaltninger."[V]
Uddannelse for sundhedsejere og -operatører: CISA har også til opgave at stille uddannelsesressourcer til rådighed for ejere og operatører af "Sundheds- og folkesundhedssektoren [aktiver]."[Vi] Disse uddannelsesressourcer skal dække cybersikkerhedsrisici og måder at afbøde disse risici for informationssystemer.
Opdatering af den sektorspecifikke risikostyringsplan for sundheds- og folkesundhedssektoren: Inden for et år efter, at lovforslaget er blevet underskrevet i loven, skal sekretæren for HHS opdatere den sektorspecifikke risikostyringsplan for sundheds- og folkesundhedssektoren. Denne opdatering skal indeholde:
- – En analyse af, hvordan identificerede cybersikkerhedsrisici specifikt påvirker dækkede aktiver (herunder dem, der er landdistrikter, små og mellemstore);
- – En evaluering af de udfordringer, som ejere og operatører står over for i forbindelse med sikring af informationssystemer, medicinsk udstyr, følsomme patienters helbredsoplysninger og elektroniske journaler;
- – En evaluering af de udfordringer, som ejere og operatører står over for med at implementere cybersikkerhedsprotokoller og reagere på databrud eller cybersikkerhedsangreb;
- – En evaluering af bedste praksis for udnyttelse af ressourcer fra agenturet til at støtte dækkede aktiver før, under og efter databrud eller cybersikkerhedsangreb;
- – En vurdering af relevant mangel på arbejdsstyrke inden for cybersikkerhed i sundhedssektoren og folkesundhedssektoren; og
- – En evaluering af de mest tilgængelige og rettidige måder, hvorpå CISA og HHS kan kommunikere og implementere anbefalinger og værktøjer til cybersikkerhed til ejere og operatører af dækkede aktiver.
Liste over højrisikosundheds- og folkesundhedsaktiver: Sekretæren for HHS får i samråd med CISA-direktøren og Healthcare and Public Health Sektoren mulighed for at "etablere objektive kriterier for at bestemme, om et dækket aktiv kan udpeges som et højrisiko-dækket aktiv." Denne liste ville blive revideret hvert andet år, og den kunne bruges af HHS til at "prioritere ressourceallokering."[Vii]
Rapporter: CISA skal også levere en rapport til Kongressen - inden for 120 dage efter, at dette lovforslag er blevet underskrevet i loven - om dets organisationsdækkende niveau af støtte og aktiviteter, som det har ydet til sundheds- og folkesundhedssektoren for at forberede sektoren til at stå over for cybertrusler og reagere på cyberangreb.
Health Infrastructure Security and Accountability Act af 2024
Health Infrastructure Security and Accountability Act af 2024 er et demokratisk ledet lovforslag, der blev indført i Senatets finansudvalg for flere uger siden af senatorerne Wyden [D-OR] og Warner [D-VA].[Viii] En pressemeddelelse om lovforslaget fra Senatets finansudvalg fremhævede den nuværende bølge af forstyrrende cyberangreb i sundhedsvæsenet og troen på, at "sundhedsindustrien har nogle af de værste cybersikkerhedspraksisser i landet på trods af dens kritiske betydning for amerikanernes velvære og privatliv."[Ix]
Dette lovforslag i sig selv er et vidtstrakt 49-siders dokument, der effektivt er opdelt i et afsnit om "Styrkelse og øgning af tilsynet med og overholdelse af sikkerhedsstandarder for sundhedsoplysninger" og "Medicare Assistance til at adressere cybersikkerhedshændelser."[X] Den tidligere sektion søger at forbedre sundhedssektorens cybersikkerhed ved at pålægge sikkerhedskrav, risikoanalyse, stresstest, uafhængige revisioner og øgede sanktioner. Sidstnævnte afsnit er fokuseret på at skaffe finansiering til hospitaler til at implementere cybersikkerhedskravene, der er skitseret i det første afsnit, samtidig med at det kodificerer HHS' bemyndigelse til at levere fremskyndede og forskudte Medicare-betalinger som svar på en cybersikkerhedshændelse.
Indhold
Fordi Health Infrastructure Security and Accountability Act af 2024 er for omfattende til at dække alle dets bestemmelser i dybden, vil dette afsnit fokusere på flere af de iøjnefaldende aspekter. Vær venligst opmærksom på, at det følgende muligvis ikke fanger alle nuancerne i lovforslaget, og vi vil opfordre Health-ISAC-medlemmer til selv at bestemme, hvordan hver bestemmelse skal gælde.
Sikkerhedskrav: Lovforslaget vil indføre minimumskrav til cybersikkerhed for omfattede enheder og forretningsforbindelser og forbedrede sikkerhedskrav for omfattede enheder og forretningsforbindelser, der vurderes at være systemisk vigtige eller vigtige for den nationale sikkerhed. Selve sikkerhedskravene ville blive defineret senere gennem en regelfastsættelsesproces, der ville omfatte samarbejdet mellem HHS, CISA og direktøren for National Intelligence. Disse krav træder i kraft inden for to år og vil derefter blive opdateret mindst hvert andet år.
Sikkerhedsrisikostyring/rapporteringskrav: Inden for tre år efter vedtagelsen af lovforslaget vil flere nye krav blive pålagt omfattede enheder og forretningsforbindelser, herunder:[Xi]
- – Udførelse og dokumentation af en årlig sikkerhedsrisikovurdering;
- – Dokumentation af en reaktionsplan for "hurtig og velordnet løsning" af forstyrrende begivenheder (herunder cyber- og naturkatastrofer), der påvirker en enheds egne informationssystemer og dens forretningsforbindelser;
- – Udføre og dokumentere resultaterne af en årlig stresstest for at vurdere evnen til at komme sig over de former for forstyrrende hændelser, der er nævnt ovenfor;
- – Giv en skriftlig erklæring underskrevet af den administrerende direktør og CISO om, at deres organisation er i overensstemmelse med de nævnte sikkerhedskrav;
- – Offentliggøre på et offentligt tilgængeligt websted information relateret til sikkerhedsoverholdelse; og
- – Give HHS dokumentation for de aktiviteter, der er nævnt ovenfor.
Derudover vil lovforslaget kræve, at omfattede enheder og forretningsforbindelser er underlagt den øgede sikkerhed
krav gennemfører en uafhængig revision på årsbasis (alle andre efter anmodning), som vurderer overholdelse af de passende minimums- eller forbedrede sikkerhedskrav, der udvikles i første afsnit.
sanktioner: Generelt søger lovforslaget at hæve de civile pengebøder på omfattede enheder for at tilskynde til overholdelse. Det mere bemærkelsesværdige aspekt angår imidlertid strafferetlige sanktioner. Lovforslaget fastslår, at "den, der indsender eller foranlediger at blive indsendt nogen dokumentation eller indberetning" i forhold til aspekter af lovforslaget "velvidende, at sådan dokumentation eller rapport indeholder falske oplysninger, eller forsætligt undlader at indsende rettidigt, eller forsætligt foranlediger ikke at blive indsendt. rettidigt indsendt,” vil gøre sig skyldig i en forbrydelse. Domfældelse vil resultere i en bøde på op til en million dollars og/eller 10 års fængsel.
Monetær bistand: Lovforslaget anerkender, at den cybersikkerhedspraksis, der kræves, ville skabe en økonomisk byrde, som mange sundhedsenheder ikke havde råd til. Som svar vil lovforslaget "give 800 millioner dollars i forudgående investeringsbetalinger over to år til 2,000 landdistrikter og by-sikkerhedsnethospitaler for at vedtage essentielle cybersikkerhedsstandarder" og "500 millioner dollars til at tilskynde alle hospitaler til at indføre forbedret cybersikkerhedspraksis." Denne bistand vil blive ydet over en to-årig periode og ligner meget den foreslåede plan, der er skitseret i HHS' finansår 2025 budget i korthed.[Xii]
Handling & Analyse
*Inkluderet med Health-ISAC-medlemskab*
[Ii] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[Iii] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[Iv] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[V] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[Vi] Dette skal omfatte teknologier, tjenester og hjælpeprogrammer.
[Vii] https://crow.house.gov/sites/evo-subsites/crow.house.gov/files/evo-media-document/CROWCO_156_xml.pdf
[Viii] Senator Warner har været interesseret i cybersikkerhed i sundhedsvæsenet i nogen tid, og Health-ISAC-medlemmer husker muligvis hans Cybersikkerhed er patientsikkerhed politikpapir fra november 2022. Papiret kan findes her: https://www.warner.senate.gov/public/_cache/files/f/5/f5020e27-d20f-49d1-b8f0-bac298f5da0b/0320658680B8F1D29C9A94895044DA31.cips-report.pdf
[Ix] https://www.finance.senate.gov/chairmans-news/wyden-and-warner-introduce-bill-to-set-strong-cybersecurity-standards-for-american-health-care-system
[X]https://www.finance.senate.gov/imo/media/doc/health_infrastructure_security_and_accountability_act_leg_text.pdf
[Xii] Side 82: https://www.hhs.gov/sites/default/files/fy-2025-budget-in-brief.pdf
[xiii] For dem, der er interesseret i denne proces, har den amerikanske kongres' officielle hjemmeside en nyttig oversigt: https://www.congress.gov/legislative-process
Hacking Healthcare er skrevet af John Banghart og Tim McGiff.
John Banghart har fungeret som en primær rådgiver om cybersikkerhedshændelser og beredskab og ledet det nationale sikkerhedsråds bestræbelser på at adressere væsentlige cybersikkerhedshændelser, herunder dem i OPM og Det Hvide Hus. John er i øjeblikket Senior Director for Cybersecurity Services hos Venable. Hans baggrund omfatter at fungere som National Security Councils Director for Federal Cybersecurity, som Senior Cybersecurity Advisor for Centers for Medicare and Medicaid Services, som cybersikkerhedsforsker og politikekspert ved National Institute of Standards and Technology (NIST) og på kontoret af underministeren for handel for standarder og teknologi.
Tim McGiff er i øjeblikket en Cybersecurity Services Program Manager hos Venable, hvor han koordinerer Health-ISACs årlige hobbyøvelse og leverer juridiske og regulatoriske opdateringer til Health-ISACs månedlige trusselbriefing.
- John kan træffes på jbanghart@h-isac.org og jfbanghart@venable.com.
- Tim kan træffes kl tmcgiff@venable.com.
- Relaterede ressourcer og nyheder
- Stigningen af CalPhishing-angreb i sundhedssektoren
- Bedste praksis for administration af tredjepartsidentitets- og adgangsstyring
- Hvad ledere inden for sundhedsvæsenet skal vide om cybersikkerhed i 2026-2027
- Hvad Trumps AI-bekendtgørelse betyder for sundhedssektoren
- Rapport om trusselsbilledet for sundhedsvæsenet og social bistanden
- Agenturbaseret AI i sundhedsvæsenet er et risikabelt forslag
- Live@eXchange Dag 2 – Health-ISAC Sikkerhedsanalytiker for medicinsk udstyr
- Health-ISAC Hacking Healthcare 6-3-2026
- Nye sårbarheder rettet mod sundhedssektoren
- Månedligt nyhedsbrev – juni 2026